ExteNsible and geneRic AuthorizatioN for Cloud resources and personal files

01.03.2014 -

Abgeschlossen
TU Berlin & Deutsche Telekom AG

Name des Teilnehmers: Dirk Thatmann

Beschreibung des IT-Forschungsprojekts: Ziel des Vorhabens ENtRANCe ist die Konzeption und Entwicklung einer erweiterbaren und generischen Plattform für die Autorisierung von Zugriffen auf Dateien wie Bilder, Videos, Musik, Text oder Cloud Ressourcen, in verteilten Systemen wie dem Internet. ENtRANCe andressiert dabei die im Weiteren genannten, oft für den Datenbesitzer und Rechteinhaber negativen Aspekte, welche beim Daten- und Informationsaustausch auftreten können.

Texte, Dokumente, Videos und Bilder werden heutzutage oft  über zentrale Dienstanbieter, wie Facebook, Flickr, YouTube, Dropbox oder per E?Mail, ausgetauscht. Regeln für eine Zugriffssteuerung existieren entweder gar nicht (E?Mail) oder werden durch die Dienstanbieter meist nur rudimentär bereitgestellt. Die Durchsetzung der Zugriffsregeln erfolgt in jedem Fall dezentral ohne Einfluss des Dateneigentümers und durch die Dienstanbieter. Kontrollmöglichkeiten werden für den Dateneigentümer/Rechteinhaber kaum bereitgestellt. Letztere treten dabei oft durch die Einwilligung zu AGBs ihre Rechte an den Daten an die Dienstanbieter ab. Ein späteres Zurückziehen von einmal publizierten Daten und Dateien kann sich als sehr schwierig erweisen oder ist gar unmöglich. Ein Vertrauen in die Funktionstüchtigkeit und "guten" Absichten und Gesetzeskonformität des Dienstanbieters ist somit eine Grundvoraussetzung, die es insbesondere bei personenbezogenen Daten sehr genau zu prüfen gilt. Ist der Ort der Dienstleistungserbringungen etwa im nichteuropäischen Ausland ist eine Konformität zu europäischen Datenschutzrichtlinien oder dem deutschen Bundesdatenschutzgesetz gar nicht erst gegeben.

Im geschäftlichen Umfeld wird, verglichen zum privaten Umfeld, mehr Wert auf die Privatheit der Daten gelegt. Emails können oft unternehmensweit mit Signaturen und Verschlüsselung ausgetauscht werden, wobei ein Austausch über Unternehmensgrenzen hinweg oft an organisatorischen Hürden scheitert und daher oft auf unverschlüsselte Kommunikation oder anderen Technologien ausgewichen wird. Dienstleister wie Dropbox werden gar für einen Datenaustausch per Unternehmensrichtlinie zur Aufrechterhaltung des Datenschutzes gänzlich verboten. Insbesondere große Dateien, die nicht per E?Mail ausgetauscht werden können, müssen durch andere Protokolle und Dienste bereitgestellt werden und zudem von den einzelnen Parteien unterstützt werden.

Ein weiterer Nachteil ist, dass das Sicherheitsniveau nur zum Zeitpunkt des Austausches gegeben ist, da meist nur Dateien und Transportwege abgesichert werden können. Ist eine Datei einmal entschlüsselt, kann die Vertraulichkeit in weiteren Prozessen nur bedingt (z.B. durch einen NDA) und ohne Einflussnahme des Dateneigentümers aufrechterhalten werden. Ein Kontrollverlust ist meist unvermeidbar.

Die ENtRANCe  Plattform soll dem Dateneigentümer die Definition von fein granularen Zugriffsregeln für seine Dateien und Ressourcen über eine grafische Schnittstelle ermöglichen. Ferner werden die Dateien durch kryptographische Verfahren verschlüsselt und sind auch nur verschlüsselt persistent speicherbar. Eine Entschlüsselung ist nur möglich, wenn zeitnah eine Erlaubnis zur Entschlüsselung vom Dateneigentümer eingeholt werden konnte oder vorliegt und der passende Schlüssel für die Entschlüsselung angewendet werden kann.

Damit soll die Zugriffsregelerstellung, ?entscheidung und das Schlüsselmanagement für den Betrieb in der Domäne des Dateneigentümers und somit Dateneigentümerzentrisch entwickelt und auf  Small Office, Home Office (SoHo) Hardware lauffähig sein.

Der Besitzer der Dateien und Ressourcen erlang in einem dezentralen Netzwerk wie dem Internet mehr Kontrolle über seine privaten, persönlichen als auch geschäftlichen Daten auch bei versendeten Daten zurück. Die Plattform möchte  damit den gesellschaftlichen Nutzen sowohl in Anwendungsfällen von Privatpersonen als auch von Unternehmen, erhöhen.

Software Campus-Partner: TU BerlinDeutsche Telekom AG

Umsetzungszeitraum: 01.03.2014 - 29.02.2016